1. Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz
  2. [RESOLU] 2 interfaces WAN, 3 modems, meilleure solution ?
This topic has been deleted. Only users with topic management privileges can see it.


  • [édité car jugé pas assez clair -> 2ème essai]

    Contexte : petite mairie, ~100 PC sur le LAN, 1 serveur, 1 pfsense 2.3.2 sur boîtier Alix 2d13 tournant depuis plusieurs années (donc évolution) avec 1 connexion ADSL (4 Mb/s) et 1 SDSL (1 Mb/s), administrateur censé maitriser le sujet mais visiblement pas assez ;)

    Besoin : l'accès internet étant régulièrement saturé et une connexion ADSL (4 Mb/s) ayant été retrouvée dans un coin, il faudrait l'ajouter aux deux déjà utilisées (ADSL et SDLS), et disposer ainsi des 3 accès derrière le boîtier Alix/pfsense.

    Schéma :
    WAN : 3 accès internet, chacun avec son modem, 1 ADSL et 1 SDSL chacun avec une IP publique configurée sur le pfsense, et la "nouvelle" ADSL avec un modem configuré avec une IP privée (192.168.x.y, distincte du LAN). Les 3 modems sont configurés par le FAI, je n'ai pas accès directement à leur configuration.
    LAN: ~ 100 postes, IP 192.168.z.0
    Entre LAN et WAN : un pfsense sur boîtier Alix 2d13 3 ports, 1 pour le LAN et 2 pour le WAN (1 par modem)
    DMZ aucune
    WiFi : n'intervient pas dans le problème
    autre interface : un accès openVPN géré par pfsense
    Règles NAT : automatic outbound (config par défaut)
    Règles firewall : orientation de trafic sur les 2 gateways selon différents critères (destination, ports, utilisateurs)
    Packages ajoutés : iftop, nmap
    Autres fonctions assignées au pfSense : DHCP, DNS forwarder, le serveur VPN cité plus haut.

    Question :

    Pistes imaginées :

    • connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) :  depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
    • Shirts Pony Ralph London New polo Polo Big White In Lauren TZOPkuwXi
    • configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.

    Logs et tests : Je peux refaire à la demande, car plusieurs jours de tests en croisant les différentes possibilités ça fait des tonnes de tests et de logs… j'ai suivi les tutos trouvés, puis je suis passé au mixage de tutos.

    Voilà, j'espère avoir mieux respecté le cadre du forum et que ma demande est un peu moins incompréhensible.

    Message d'origine :


    Bonjour,

    dans une petite mairie, un boitier Alix 2d13 (1 LAN, 2 WAN) avec pfsense 2.3.2 fait le lien entre le LAN et 2 modem/routeurs (1 ADSL 4Mb/s et 1 SDSL 1 Mb/s).
    Un autre modem/routeur ADSL est disponible, et je voudrais le rajouter derrière le pfsense.
    Les 3 modems ont des config "figées" par le fournisseur, avec des IP internes appartenant à des sous-réseaux différents (2 IP 178.x.y.z pour ceux en place et 1IP 192.168.x.y pour le nouveau).

    J'ai branché le nouveau modem sur le switch du modem ADSL déjà présent. J'ai ajouté une IP à l'interface WAN (testé IP virtuelle, CARP, proxy ARP), pfsense arrive à pinguer l'IP ajoutée et les modems, mais je n'arrive pas à faire le routage entre le LAN et les modems (la table de routage me parait pourtant correcte, et en tous cas les chemins sont identiques pour joindre les anciens et le nouveau modem).
    En configurant un NAT outbound sur l'IP ajoutée, j'arrive depuis le LAN à atteindre l'un ou l'autre modem suivant l'ordre des règles de NAT, mais pas les deux et je ne sais pas orienter le trafic avec des règles firewall.

    Y-a-t-il une chance de réussir dans cette voie, ou je me suis lancé dans une impasse et il faut obligatoirement passer par les vlan en intercalant un switch les gérant entre les modems et pfsense ?
    Merci d'avance pour toute remarque !


    Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz

  • Salut salut

    Je suis plus que perplexe avec votre post actuelle.
    Je ne comprend presque rien à votre demande.
    Je comprends surtout que vous désirez une solution sans avoir l'effort de recherche réelle et encore moins de compréhension.
    De plus je note comme votre premier post que vous ne respectiez pas non plus "la charte" de cette section https://forum.pfsense.org/index.php?topic=79600.0

    Non cordialement.

    Reply Quote 0 1 Reply Last reply Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz

  • Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz last edited by

    @Tatave:

    Je comprends surtout que vous désirez une solution sans avoir l'effort de recherche réelle et encore moins de compréhension.

    Je me suis donc très mal exprimé puisque ce n'est pas du tout le cas : j'ai beaucoup cherché, et je cherche surtout un avis "c'est la peine de continuer à chercher dans cette voie" ou "tu t'es planté, recommence en ajoutant le mot clé Y".
    Mais donc comme j'ai mal fait je recommence, juste le temps de retaper ma demande, et j'espère que ce sera plus clair.

    Reply Quote 0

    Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz

    1 Reply Last reply

  • last edited by Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz

    Le formulaire A LIRE EN PREMIER est destiné à fournir une trame de présentation à adapter selon le cas.
    C'est un peu contraignant mais cela facilite la compréhension des lecteurs … donc c'est votre intérêt.

    Ce qu'on comprend :

    • vous avez 2 WAN et vous en voulez 1 supplémentaire : il est conseillé d'avoir une interface physique réelle par interface WAN : Alix dispose-t-il de 4 interfaces ethernet (LAN + 3 WAN) ?

    (En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/Fille Fr Polo Robe Neuve Lauren 25 00Picclick Eur Ralph wOPZukTiX)
    Il est préférable de commander une ligne avec backup intégré : le fournisseur apporte un routeur avec 2 liaisons : la principale et celle de secours.


  • last edited by

    @jdh:

    Ce qu'on comprend :

    • vous avez 2 WAN et vous en voulez 1 supplémentaire : il est conseillé d'avoir une interface physique réelle par interface WAN : Alix dispose-t-il de 4 interfaces ethernet (LAN + 3 WAN) ?

    Non, carte 3 ports : 1 LAN et 2 WAN actuellement.

    @jdh:

    JuniorForumpolo Pas Lauren Ralph Ralph Cher Lauren Pas roBdxCe

    (En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/)
    Il est préférable de commander une ligne avec backup intégré : le fournisseur apporte un routeur avec 2 liaisons : la principale et celle de secours.

    Vu les débits locaux à 5 km du NRA en coupant par les champs, hors multiplication des liens, il n'y a pas trop d'autres solution  ;)


  • Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz
  • last edited by

    @jdh:

    (En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/Short 'usa Women Ralph White Lauren Polo Olympic Team' For wZPXiuTOk)

    Pourquoi pas… C'est une interprétation du texte.
    Une autre interprétation, c'est qu'il ne faut pas avoir d'accès WAN "hors contrôle". Le fait d'en avoir plusieurs rend le contrôle plus difficile... mais dans ce cas, avec tous les accès derrière le même firewall, ça ne s'applique pas.

    @Frantz:

    • est-il bien clair pour toi que l'ajout d'accès ADSL en parallèle ne va pas avoir pour conséquence une bande passante maximum triplée.
    • ça va permettre, sous certaines conditions uniquement, de faire du load-balancing mais le bénéfice n'est pas la réduction par 3 des temps de transfert.
    • un proxy est également très efficace (sauf pour le flux HTTPS bien sûr puisque ce lui-ci n'est pas en cache)

    Sur ce que tu décris, ça devrait fonctionner si tu ajoute une IP virtuelle pour créer une interface WAN supplémentaire nécessaire aux policy routing mais j'avoue ne pas avoir réfléchi à tous les détails.
    Tu peux sans problème faire le test avec tes 2 accès ADSL existants en utilisant une seule interface physique WAN avec une IP supplémentaire.


  • F
    Frantz last edited by

    @chris4916:

    @Frantz:Polo Stretch Slim Short Ralph In Blue Chino Lauren For Cotton Fit KlF1JcT

    • est-il bien clair pour toi que l'ajout d'accès ADSL en parallèle ne va pas avoir pour conséquence une bande passante maximum triplée.
    • ça va permettre, sous certaines conditions uniquement, de faire du load-balancing mais le bénéfice n'est pas la réduction par 3 des temps de transfert.
    • un proxy est également très efficace (sauf pour le flux HTTPS bien sûr puisque ce lui-ci n'est pas en cache)

    Dans l'ordre, oui, oui et c'est prévu ;)
    J'utilise déjà le principe sur d'autres sites, là c'est vraiment l'aspect 2 modems/1 interface/pfsense qui me bloque.

    @chris4916:

    Sur ce que tu décris, ça devrait fonctionner si tu ajoute une IP virtuelle pour créer une interface WAN supplémentaire nécessaire aux policy routing mais j'avoue ne pas avoir réfléchi à tous les détails.
    Tu peux sans problème faire le test avec tes 2 accès ADSL existants en utilisant une seule interface physique WAN avec une IP supplémentaire.

    J'ai testé et je teste dans tous les sens… dans les IP virtuelles l'IP alias semble correspondre au cas d'après ce que je lis, encore un peu demain, et après plan B, la curiosité c'est bien mais faut être raisonnable aussi parfois  ;D

    Reply Quote 0 Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz 1 Reply Last reply

  • C
    chris4916 last edited by

    Ce qui serait bien, c'est que tu décrives ce qui ne marche pas si tu fais un test du genre

    En même temps, en écrivant ça, je me demande si pfSense va accepter ce genre de config…

    J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc... laisse tomber ou alors oublie le FW.

    Reply Quote 0 Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz 1 Reply Last reply


  • @chris4916:

    Ce qui serait bien, c'est que tu décrives ce qui ne marche pas si tu fais un test du genre

    • LAN sur l'interface LAN de pfSense
    • les 2 liens ADSL avec 2 IP privées dan 2 subnets différents
    • 1 interface WAN avec une IP virtuelle supplémentaire. L'IP de l'interface WAN est dans le subnet de l'ADSL 1, l'IP virtuelle dans le subnet de l'interface 2

    @Frantz:

    Schéma :
    WAN : 3 accès internet, chacun avec son modem, 1 ADSL et 1 SDSL chacun avec une IP publique configurée sur le pfsense, et la "nouvelle" ADSL avec un modem configuré avec une IP privée (192.168.x.y, distincte du LAN). Les 3 modems sont configurés par le FAI, je n'ai pas accès directement à leur configuration.
    LAN: ~ 100 postes, IP 192.168.z.0
    Entre LAN et WAN : un pfsense sur boîtier Alix 2d13 3 ports, 1 pour le LAN et 2 pour le WAN (1 par modem)

    […]

    Pistes imaginées :

    • connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) :  depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
    • configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.

    Je ne peux que renouveler mes excuses si je ne m'exprime pas assez clairement  ;)

    @chris4916:

    En même temps, en écrivant ça, je me demande si pfSense va accepter ce genre de config…

    C'est en effet là toute la question que je (me) pose, bienvenue au club :)

    @chris4916:

    J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc… laisse tomber ou alors oublie le FW.

    Pour moi, le port/switch LAN d'un modem n'est pas le réseau LAN, de là doit venir l'incompréhension. S'il y a une tournure plus claire, je la veux bien, ça m'évitera de recommencer. Port interne ça me plait pas, "port côté LAN du modem" ?

    Reply Quote Watch Jewellery Polo Ralph Lauren Company gbf7Yy6 0 1 Reply Last reply

  • C
    chris4916 last edited by

    Ralph Boxers LaurenPack Polo De Coton En 3 Bleu UzpqVSMG

    @Frantz:

    C'est en effet là toute la question que je (me) pose, bienvenue au club :)

    mais qu'est-ce qui t'empêche juste de le tester ???

    @chris4916:

    J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc… laisse tomber ou alors oublie le FW.

    Pour moi, le port/switch LAN d'un modem n'est pas le réseau LAN, de là doit venir l'incompréhension. S'il y a une tournure plus claire, je la veux bien, ça m'évitera de recommencer. Port interne ça me plait pas, "port côté LAN du modem" ?

    Non j'ai fini par comprendre ce que tu veux dire. Je ne risquais pas de comprendre car je n'imaginais pas que tu interconnecterais les switch internes des box de cette manière. J'avais en tête que tu connectais les box sur un switch, de toute évidence ce n'est pas le cas.

    donc là, tu ajoutes, aux incertitudes du paramétrage de pfSense, l'interconnexion des switch des box… pourquoi pas.

    Le design de test qui me semble le plus simple:

    • tu configures les 2 box pour avoir une IP interne (coté LAN) dans 2 subnets différents.
    • tu connectes ces box à un switch commun auquel tu connectes également pfSense sur lequel tu as configuré 2 IP (une dans chaque subnet des box) sur la même interface physique.
    • tu t'assures que tu arrives, depuis pfSense, à parler à chaque box...

    ensuite, il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-) mais déjà le test ci-dessu devrait te donner une idée de la faisabilité. Si ça ne marche pas, il faut faire des VLAN.

    Est-ce que ça vaut bien le coup avec une ligne à 1Mb/s ?  ::)

    Reply Quote 0 1 Reply Last reply

  • Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz
    F
    Frantz Men's Blue Shirt Us Boy Open Ball Polo lKc1J3TF last edited by

    @chris4916:

    mais qu'est-ce qui t'empêche juste de le tester ???

    @Frantz:

    • connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) :  **depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
    • configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.**

    Testé sur le réseau "prod" comme sur config de test, résultats identiques.

    @chris4916:

    Le design de test qui me semble le plus simple:

    • tu configures les 2 box pour avoir une IP interne (coté LAN) dans 2 subnets différents.
    • tu connectes ces box à un switch commun auquel tu connectes également pfSense sur lequel tu as configuré 2 IP (une dans chaque subnet des box) sur la même interface physique.
    • tu t'assures que tu arrives, depuis pfSense, à parler à chaque box…

    ensuite, il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-) mais déjà le test ci-dessu devrait te donner une idée de la faisabilité. Si ça ne marche pas, il faut faire des VLAN.

    Depuis pfsense, tout va bien (enfin tout, les pings, hein), depuis le LAN non, on est donc une 2ème fois parfaitement d'accord "il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-)"  :)

    @chris4916:

    Est-ce que ça vaut bien le coup avec une ligne à 1Mb/s ?  ::)

    En download on arriverait à 4 + 1 + 4, en upload 0,5 + 1 + 0,5… pour 20 à 40 utilisateurs simultannés... en répartissant bien, ça peut devenir le grand luxe ::)

    Bon, si je résume :

    • connecter un 2ème modem sur une même interface physique d'un pfsense à l'aide d'une IP virtuelle (IP alias), en théorie ça pourrait marcher d'après les (nombreuses) docs trouvées et l'avis de Chris, mais en pratique je n'ai trouvé personne qui ait testé, et mes (longs) tests sont négatifs, donc j'oublie.
    • Edt Ultra 200 Ml Lauren Blue Polo Ralph 1ulF3KcJT
    • la solution conseillée est bien d'intercaler un switch entre le pfsense et les modems et de faire du vlan, merci pour la confirmation.

    Merci à jdh et chris4916 pour leurs avis.
    Pour Tatave, je ne peux que lui conseiller de consulter les "Règles de la section française", qu'il trouvera là : https://forum.pfsense.org/index.php?topic=9708.0 et où il lira "Veuillez veillez [sic] à rester polis et courtois.", l'agression gratuite ne me semble pas conforme à cette règle  ;D

    Bon week-end à tous (sans exception) !

    Reply Quote 0 1 Reply Last reply

Loading More Posts
11
Posts
1671
Views
Reply
Log in to reply


Products

  • Platform Overview
  • TNSR
  • pfSense
  • Appliances

Applications

  • AWS Transit VPC
  • High-Performance Cloud Mirror Port
  • High-Performance vRouter
  • High Performance Cloud Firewall

Support

  • Subscription Plans
  • Contact Support
  • Product Lifecycle
  • Documentation

Services

  • Training
  • Professional Services

News

  • Media Coverage
  • Press
  • Events

Resources

    Sport F9f55 Lauren Luggage 50Off Info Ralph Polo 49593 MSVpUz
  • Blog
  • FAQ
  • Find a Partner
  • Resource Library

Company

  • About Us
  • Careers
  • Partners
  • Contact Us
  • Legal
Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy

Looks like your connection to Netgate Forum was lost, please wait while we try to reconnect.